Red Hat Single Sign-On 7.1がRed Hat Enterprise Linux 7で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat Single Sign-Onは、Keycloakプロジェクトに基づいたスタンドアロンのサーバーで、Webアプリケーションとモバイルアプリケーションに認証と標準ベースのシングルサインオン機能を提供します。Red Hat Single Sign-On 7.1のこのリリースは、Red Hat Single Sign-On 7.0を置き換え、バグ修正および強化を含んでいます。これらの詳細については、「参照」セクションにリンクされているリリースノートを参照してください。セキュリティ修正プログラム：*RESTサーバーに送信されたサービスアカウントユーザーの削除リクエストを処理するとき、keycloakがアクセス許可を正しく確認していないことがわかりました。サービスアカウント認証を持つ攻撃者がこの欠陥を悪用して、通常のアクセス許可をバイパスし、別の領域のユーザーを削除する可能性があります。（CVE-2016-8629）* JBoss EAP 7ヘッダーキャッシュが非効率的であることがわかりました。攻撃者がこの欠陥を悪用して、サービス拒否攻撃を引き起こす可能性があります。（CVE-2016-9589）* JWSトークンのkeycloakのHMAC検証の実装で、定数時間で実行されない方法が使用され、アプリケーションがタイミング攻撃に対して脆弱になる可能性があることがわかりました。（CVE-2017-2585）Red Hatは、CVE-2016-9589を報告してくれたGabriel Lavoie氏（Halogen Software）と、CVE-2017-2585を報告してくれたRichard Kettelerij氏（Mindloops）に感謝の意を表します。

検出

RHEL 7：Single Sign-On（RHSA-2017:0873）

medium Nessus プラグイン ID 117314

バージョン 1.6